ハッカー達がネットワークを見つめる4つの視点

組織はITセキュリティを苦労して学びます。些細な事、と無視すると大きな代償を払う可能性があることに気付くまで、多くの時間と費用がかかります。ネットワークのセキュリティが強力かどうかは一番弱い部分により決定されますが、だからこそハッカー達はセキュリティがどんなに強力でも、恐れることはありません。一つの抜け穴さえ探し出せば、あとはどこからでも切り崩すことが出来る、それが最近のハッカー達です。

ハッカー達が企業ネットワークを攻略する原則は、大きく4種類に分けられます。これはネットワークを保護しようとする企業が念頭に置いておく必要がある部分でもあります。

1. 多くの場合、一番弱い部分は「人間」

ハッカー達がネットワークに侵入を試みる時、最も脆弱な部分を探し出す事に尽力しますが、だいたいの場合それは「人間」です。以前発表されたデータ流出報告書によると、ハッカーによるデータ流出事故の約81%が、人の失敗から始まったと言います。特にパスワードを単純なものに設定していたケースや、安易に他人へパスワードを教えるケースが多かったとあります。これはセキュリティ対策において、人の扱いが最も難しいということになります。人は完全ではなく感情に左右される場合もあるので、不安定要素が多い存在です。セキュリティ教育を根気よく施しても、この不安要素が消える事はありません。

その上、最近のサイバー環境というものが、人をより感情的にします。超連結社会とも言われ、SNSを通じてやりとりする時代、人は感情をお互いに遠慮なく表現し、それに反応します。またこのような連結性のおかげで人と、その人へ対する情報を探し出すことが今までになく容易になりました。ハッカー達は誰かを標的とし、その標的を感情的に揺さぶることが出来る情報を作り出します。その情報を利用し、標的が感情的に行動すれば、普段は取らないような非正常な行動が現れ、それがハッキングへと繋がっていきます。

2. 修正されていないエラーが存在する

セキュリティソリューションを作る会社と一言に行っても、目標が全て同じではなく、作るソリューション機能も全て同じ訳ではありません。セキュリティ専門家が見る「脆弱性」の観点も人さまざまです。その「隙間」でセキュリティ事故が発生します。

例を挙げると、あるソフトウェアの問題に対し、あるセキュリティ専門家は必ず修正しなければならない脆弱性だと考える一方で、ソフトウェア会社はそこまで大きく騒ぐような問題ではない、とするケースが多々見受けられます。誰かはAという脆弱性を皆に知らせる必要があると判断し、また別の誰かはこっそりと修正し、修正プログラムを配布しないといけないと考えます。このように相反する立場の違いから、合意点を探す時間が生まれ、その間にハッカー達のエクスプロイト攻撃が行われたりします。

3. ミス?誰かが必ず見つけ出す

デジタル改革の核心は「自動化技術」です。自動化技術を導入するとなると、当分の間は組織内での様々な試行錯誤が予想されますが、自動化技術によって利益を得るのは私達だけとは限りません。ハッカー達もやはり、この技術を出来る限り利用しようとします。このような自動化技術が早くから導入されたものの内一つは、インターネット検索技術です。これにより現在は誰でもインターネット検索を通じて、モノのインターネット(Internet of Things、IoT)はもちろんのこと、ネットワークに接続された様々な装備とクラウドのインスタンス等にある設定エラーを探し出すことが出来ます。

人間に失敗はつきもので、誰でも設定エラーをする可能性があります。ミスは見つけて修正すれば問題ありません。しかし自動化技術のせいで、そのミスを他の人が先に見つけ出す事も容易になったという問題もあります。クラウドサービスで起きた情報流出事故を見ると、設定エラーにより全ての人に対してデータが露出したインスタンスの場合、誰でもデータに接近出来るだけではなく、書き込み権限も与えられました。このような状況を利用し、ハッカー達は中間者攻撃(Man in the middle attack、MITM)を仕掛けたりします。

4. セキュリティ人材が不足している

セキュリティ人材の不足が長い間言われてきました。人材が不足しているということは、数多くの攻撃に対応するのは物理的に不可能だ、という意味にもなり、また他にも、現在のセキュリティ専門家に対し、達成不可能なミッションが与えられるということにもなります。1日に数百回にわたり発生するセキュリティアラームを全て分析しろ、という事が既に「不可能」です。ハッカー達が攻撃回数を一気に増やせば、ある瞬間セキュリティ担当者の目を避けて侵入に成功するでしょう。

アラームの形態で報告されたケースを一つ一つ分析しようとすれば、多くの時間が必要です。単純にマルウェアを分析するだけではなく、各種内部ツール、外部ツールを使用し、実質的な関係者達とのミーティング等を通じて、一連の流れに関する情報までをまとめないといけません。これを1日数百~数千件処理するという事は、どう見ても不可能です。セキュリティ専門家が疲弊せざるを得ない構造と言えるでしょう。

4つの問題がどういう事を意味するのか?

上の4つの問題は、ハッカー達の頭の中に常に存在するものです。強力なセキュリティが施されているネットワークを前にして、ハッカー達は「人は弱いもの」「誰かがミスをしている事」「修正されていないエラーが少なくとも1つ以上はある事」「セキュリティ担当者もどうせ不足している事」を考えている、ということです。つまり、皆さんのネットワークは軽く見られています。

「まず敵を知ること」がセキュリティ対策において重要なポイントです。セキュリティ担当者の立場でも、このようなハッカー達の視点からネットワークを見つめる必要があります。弱い部分をハッカーのように探し出して補強し、環境設定のエラーも周期的に検索しながら、誰よりも早く対応していくことが求められます。